Granska en VPN kan vara svårt. Det finns mycket att tänka på, en rad faktorer och funktioner att väga upp, och alla har sin egen syn på vad som är viktigt och vad som verkligen inte är.
Som ett resultat är det svårt att hitta slutgiltiga domar. Det spelar ingen roll hur ofta eller hur noggrant någon mäter anslutningshastigheter från Storbritannien till Tyskland på en Windows-bärbar dator - detta berättar inte så mycket om du är intresserad av att ansluta från Australien till New York på din Android-mobil.
Läs mer: CyberGhost VPN
Vad vi kan göra är att kolla in många olika aspekter av tjänsten och berätta mer om dem. Du kanske inte är intresserad av alla dessa - kanske använder du bara någonsin samma plats, till exempel, så bryr dig inte mindre om hur serverlistan är organiserad, eller om det finns ett favoritsystem - men förhoppningsvis kommer vi att täcka tillräckligt mark för att ge dig en känsla för hur en leverantör är.
I den här funktionen kommer vi att förklara de viktigaste frågorna vi överväger, hur vi ska utvärdera och testa dem och hur vi slutligen bestämmer att en tjänst som ExpressVPN kommer ut på toppen. Men kom ihåg att medan fullständiga recensioner av de bästa VPN-leverantörerna kommer att täcka allt vi ska diskutera här, kommer kortare recensioner helt enkelt att fokusera på de viktigaste punkterna.
Men det är lika värt att notera att det vi har lagt fram här bara är en bråkdel av vad som eventuellt kan hända i en riktig recension. Om vi är nyfikna på exakt vad en VPN-app gör - kanske undrar vi om det kan vara skadligt, till exempel - vi kan köra dess körbara förbi en säkerhetsskanner (prova Ostorlab), undersöka koden för ett webbläsartillägg eller använd något som dnSpy för att dekompilera och bläddra i en .NET-klient. Men för att gå in i den typen av detaljer krävs det att en hel bok täcker ordentligt!
- Vill du bara veta vad du ska ladda ner? Dessa är de bästa VPN-leverantörerna
Samla in funktioner
Processen med att utvärdera ett VPN börjar på sin webbplats genom att samla in information om tjänsten och dess funktioner.
Nätverksstorlek spelar roll, men inte lika mycket som leverantörer ibland hävdar (så länge ett VPN har de platser du behöver, spelar det ingen roll om det finns 20 eller 2000 fler). Förutom siffrorna kontrollerar vi för att se hur spridda platserna är, oavsett om de inkluderar länder som du inte alltid får med tävlingen, eller om de lämnar luckor i täckningen någon annanstans.
Det är lika viktigt att förstå de tjänster som stöds av varje server. Stöder de alla P2P, streaming, OpenVPN och allt annat som leverantören erbjuder? Det här är inte alltid lätt att ta reda på, men det är värt att göra en ansträngning (listan över 300 platser kan se mycket mindre imponerande ut om du inser att du bara kan använda P2P med tre av dem).
En bra VPN bör erbjuda anpassade stationära och mobila VPN-appar, eftersom de blir det enklaste sättet att använda tjänsten. Var dock försiktig när du kontrollerar detta på en webbplats. Leverantörer ger dig ibland en lång lista över plattformar, men även om vissa av dessa kommer att leda till nedladdningar kan andra bara peka på en handledning som förklarar hur du kan ställa in tjänsten manuellt. Följ varje länk för att ta reda på det säkert.
Identifiering av stödda VPN-protokoll berättar mycket om tjänsten. Om det täcker de viktigaste standarderna - OpenVPN, L2TP / IPSec, IKEv2 - finns det en god chans att du kommer att kunna använda den på de flesta enheter och plattformar (routrar, spelkonsoler och så vidare), även om de inte stöds direkt av leverantörsappar.
Vi ägnar stor uppmärksamhet åt alla detaljer om hur varje protokoll implementeras, inklusive detaljerna i alla krypterings- och autentiseringsmetoder som kan användas. Dessa är inte alltid synliga på förhand, men det finns vanligtvis lite information gömd på supportwebbplatsen.
Har VPN några intressanta bonusfunktioner? Vanliga exempel är blockering av annonser, spårare och skadlig webbadress; leverantörens eget DNS-system; Lökstöd; dela tunnling, så att du kan välja vilka applikationer som använder VPN och vilka inte; och kanske Bitcoin-stöd för betalningar, vilket förbättrar din anonymitet när du registrerar dig.
Att kolla in priset hjälper oss att förstå om tjänsten är bra, men det finns mer än att titta på en enda rubrik. Vissa billiga VPN-tjänster erbjuder inte sitt lägsta pris om du inte registrerar dig i flera år, så det är viktigt att titta på utbudet av planer och priser som erbjuds.
Om insamling av all denna information låter som om det kan vara en lång och tråkig process har du rätt; det är det sannerligen. Men det handlar inte bara om att hitta siffror och funktionslistor. Bara erfarenheten av att leta efter relevant information ger dig en bra känsla för hur en VPN är.
En tvivelaktig leverantör kan vara kort i detalj, till exempel med en dåligt organiserad webbplats som gör det svårt att hitta vad du behöver. Information kan vara inkonsekvent eller föråldrad, och ibland ser du lite marknadsföringsproblem, till exempel att göra orealistisk hastighet eller att webbplatsen avblockerar löften som du misstänker att företaget inte kan leverera.
Men en professionell leverantör kommer att ha en väldesignad webbplats som gör all viktig information synlig på förhand, med massor av tekniska detaljer undangömda om du vill ha den. Försäljning kommer att hållas på ett minimum, och ärlighet och öppenhet kommer sannolikt att vara dagens ordning.
Integritet
Det är svårt att bedöma integritetsnivån som erbjuds av alla VPN, eftersom du litar på att leverantören ärligt talar om för dig vad de gör och hur tjänsten fungerar. Ändå finns det ofta tillräckligt med information för att peka dig i rätt riktning.
Detta börjar med de tekniska data du samlat in tidigare på protokoll som stöds, kryptering och autentisering. OpenVPN-stöd är bäst, IKEv2 inte långt efter, L2TP / IPSec är acceptabelt, men den föråldrade och osäkra PPTP undviks bäst helt.
Vi kanske letar efter AES-256-datakryptering, RSA-2048 eller 4096 för att täcka handskakning och Perfect Forward Secrecy för att generera nya nycklar för varje session - men sanningen är att VPN: er inte alltid stavar helt ut vad de gör.
Ibland är det nödvändigt att bläddra i supportwebbplatsen för ledtrådar, eller så kan du ladda ner exempel på OpenVPN-konfigurationsfiler för att ge dig en uppfattning om hur tjänsten fungerar. Om tjänsten har livechatt, försök fråga någon; agenterna kan vanligtvis svara på frågor före försäljning.
Appfunktioner är viktiga. Kvalitets-VPN kommer att använda sina egna DNS-servrar och implementera DNS-läckageskydd (IPv4 och IPv6) för att minska risken för att dina internetaktiviteter blir synliga för andra. Du vill också ha en kill-switch för att automatiskt blockera internetåtkomst om VPN-anslutningen sjunker.
Observera: bara för att en tjänst har 'kill switch' på en webbplatsfunktionslista betyder det inte att den här funktionen kommer att finnas tillgänglig på alla plattformar. Mobilappar har ofta färre funktioner och funktioner än deras syskon, till exempel, så vi kontrollerar var och en för att förstå vad den gör.
För att bekräfta att ett VPN döljer din IP-adress ordentligt, anslut till vilken VPN-plats som helst och rikta din webbläsare på ipleak.net. Om du ser din riktiga IP-adress eller en adress som ägs av din Internetleverantör, finns det ett problem som du behöver undersöka närmare. Resultaten kan variera beroende på webbläsarinställning, så upprepa detta i varje webbläsare och på varje enhet du använder.
Vi testar dödsbrytare på Windows VPN-klienter med ett anpassat verktyg för att tvinga till att stänga vår VPN-anslutning, sedan kontrollerar vi för att se hur länge internet är tillgängligt och om vår vanliga externa IP är synlig för omvärlden.
För att göra något liknande manuellt, använd Aktivitetshanteraren för att stänga processen OpenVPN.exe och kontrollera om din internetåtkomst går ner omedelbart, eller om det är några sekunders fördröjning och om den automatiskt ansluter igen.
Om dödsbrytaren inte verkar fungera, kontrollera Inställningar för att se till att den är påslagen (ibland är den inaktiverad som standard). Leta efter alternativa inställningar som också kan hjälpa till. Vissa klienter har en "återuppringning om anslutningen sjunker" -funktionen som inte är lika effektiv, men som ändå erbjuder ett visst anonymitetsskydd.
Skogsavverkning
VPN-leverantörer, särskilt gratistjänster, anklagas regelbundet för att de har sålt sina användares webbhistorik. De flesta kommer att försöka slå tillbaka, vanligtvis genom att skrika "Ingen loggning!" på förstasidan på deras hemsida, men många års erfarenhet har sagt att detta inte alltid är sant. Det är därför vi alltid tittar lite djupare.
Sekretesspolicyn kan berätta mycket om en leverantör, även innan du läser den. 5 000 ord av dåligt formaterade, jargongpackade legalese är ett dåligt tecken, och så är ett 100-ords dokument som säger nästan ingenting. Vad vi letar efter är ett tydligt formaterat, välorganiserat och läsbart dokument som gör det möjligt för alla att hitta de viktigaste detaljerna de behöver.
Dessa detaljer bör vara tydliga och täcka alla loggningsmöjligheter. En enda rad som säger "vi loggar aldrig under något omständigheter vad du gör online", till exempel, utesluter inte möjligheten att tjänsten kan spela in sessionsdata: datum och tid du loggar in, din inkommande IP-adress, den VPN-IP-adress du tilldelats, datum och tid du kopplar bort och den bandbredd du använder. Den detaljnivån kan vara tillräckligt för att andra ska kunna länka en internetåtgärd till ditt konto.
En bättre policy kommer att utesluta denna möjlighet genom att förklara att den inte loggar anslutnings- eller kopplingstider, inkommande och utgående IP-adresser och så vidare.
De bästa policyerna kommer också att berätta vad de registrerar, varför de gör det och vad som händer med den informationen. Till exempel kan en leverantör säga att den loggar den senaste anslutningstiden och bandbredden som användes i den sessionen, men registrerar inte inkommande eller utgående IP-adresser. Det kan förklara att dessa uppgifter är användbara för att hjälpa företaget att övervaka användningen av tjänster och identifiera inaktiva konton (meningsfullt), men tillåter ingen att ta reda på vad du gör online (helt sant). Och det kan berätta för dig att om du inte längre använder tjänsten kan du skicka support via e-post och de kommer att ta bort din gamla kontodata helt.
Det är viktigt att hålla detta i perspektiv. Hur väl presenterad en integritetspolicy kan vara, det finns ingen garanti för att allt som sägs i dokumentet faktiskt är sant. Allt bygger på förtroende.
Att kolla in det finstilta kan dock ibland markera loggning som en VPN medger. Och om inget annat kan det ge dig ledtrådar om hur ärlig och öppen en leverantör kan vara.
Vi har tidigare hittat tvivelaktiga gratis VPN som har kopierat och klistrat in någon annans integritetspolicy, ändrat företagsnamn i texten och låtsat att de till exempel är. Det är lat, inkompetent och bedrägligt, verkligen - mer än tillräckligt för att berätta att detta inte är en leverantör du ska använda.
Säkerhetsgranskningar
VPN-leverantörer vet att det saknas förtroende för verksamheten, men vissa försöker motverka detta genom att sätta sig själv genom oberoende säkerhetsrevisioner.
Tanken är att en leverantör bjuder in ett expertgrupp att undersöka säkerhets- eller sekretessproblem med sina system och rapportera tillbaka med sina resultat.
Varje VPN som sätter sig igenom denna process förtjänar lite kredit för att ha modet att avslöja sin inre verksamhet för världen. Men alla revisioner är inte desamma, och deras verkliga värde beror på en rad faktorer.
Vad är revisionens omfattning, till exempel - vad försökte revisorerna titta på? Om det är någon liten aspekt av tjänsten, som webbläsartillägg, kommer det inte att betyda så mycket. Det är mer användbart att inspektera hela utbudet av appar och de bästa granskningarna går ännu längre. TunnelBears säkerhetsgranskning inkluderar dess infrastruktur och till och med webbplatsen). Medan NordVPN nu kallar in PricewaterhouseCoopers för att slutföra en oberoende av sin policy utan loggar.
Kolla också vad revisionen var avsedd att göra. Ibland kontrollerar helt enkelt att, till exempel, tjänsten följer reglerna för icke-loggning i sekretesspolicyn. Det är bra, men andra går längre, kanske lägger appar genom djupgående tester för att identifiera fel och integritetsfel.
Vilken åtkomstnivå hade revisorerna till tjänsten? Att kunna testa en app är bra, men att ha tillgång till källkoden och riktiga VPN-servrar är mycket, mycket bättre.
Är slutrapporten tillgänglig för allmänheten? Helst skulle vem som helst kunna titta på det. Vissa rapporter är endast tillgängliga för betalande kunder - inte så bekvämt, men vi kan leva med det. Några är dock inte allmänt tillgängliga, vilket gör att du måste lita på VPN: s egen sammanfattning av domen. (Vilket är ironiskt, med tanke på att revisioner ska handla om att minska detta behov av förtroende.)
Slutligen, hur länge sedan ägde revisionen rum? En kvalitets-VPN utvidgar och förbättrar alltid sina system, så en rapport från två år sedan kommer inte att ha nästan lika mycket värde idag. Vi letar efter leverantörer som inte bara lägger ut alla sina tjänster för inspektion utan även företag som åtar sig att göra det nästa år.
Testa serverval
För att förstå hur en VPN fungerar korrekt använder vi automatiserade verktyg för att ansluta till flera servrar och testa viktiga aspekter av tjänsten: servertillgänglighet, plats, anslutningstid, latens och nedladdningshastigheter.
Våra verktyg ansluter till varje server via OpenVPN, så testprocessen börjar med att ladda ner VPN-leverantörens konfigurationsfiler. (Om en tjänst ber oss att generera dem själva anger vi UDP-baserade anslutningar).
Dessa filer är uppdelade i fyra platsbaserade grupper (Storbritannien, Europa, Nordamerika och resten av världen), som vi sedan bryter ner ytterligare för att välja de servrar som ska ingå i våra tester.
Vissa VPN-tester använder i stort sett fasta platser: en i London, en i Amsterdam, en annan i New York och så vidare. Detta är bra för att upprätthålla enhetlighet mellan VPN-leverantörer, men det gör inte nödvändigtvis en rättvis jämförelse.
Till exempel, om SmallVPN.com har en enda plats i New York och BigVPN.com har 10, blir det enkelt att testa en server från varje leverantör. Men det finns inget sätt att veta om BigVPN.coms enda server exakt kommer att representera de goda eller dåliga punkterna i tjänsten.
För att försöka få en mer realistisk uppfattning om hur en VPN presterar testar vi upp till 30 platser inom en grupp, även om det betyder att de alla ligger inom ett relativt litet område (10 servrar i London, säg). I verkliga världstester kan du ibland tilldelas en av dessa servrar, så vi måste prova dem själva, om bara för att se hur (eller om) de varierar.
Om det finns betydligt mer än 30 platser väljer vi en delmängd som bäst representerar gruppens geografiska område. Nordamerikakoncernen kommer att inkludera östkust, mellanamerikanska, västkust och kanadensiska platser där det är möjligt, till exempel.
Naturligtvis betyder det att vi också kanske saknar några av de bästa (eller de långsammaste) servrarna, men vi tycker att det räcker för att ge oss en representativ bild av prestationen i den gruppen.
Läs mer:
- Stort på streaming? Upptäck de bästa Netflix-VPN: erna
- Gå runt "Great Firewall" med bästa VPN för Kina …
- Eller se vår guide om hur du använder WhatsApp i Kina